Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
tvOS 10.2
Vydané 27. marca 2017
Zvuk
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2430: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2462: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Carbon
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie súboru .dfont so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov písiem dochádzalo k pretečeniu medzipamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) z oddelenia Tencent Security Platform Department
CoreGraphics
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s nekonečnou rekurziou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2417: riusksk (泉哥) z oddelenia Tencent Security Platform Department
CoreGraphics
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2444: Mei Wang z tímu 360 GearTeam
CoreText
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2435: John Villamil, Doyensec
CoreText
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2450: John Villamil, Doyensec
CoreText
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby apky
Popis: Dochádzalo k problému s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2461: Anonymný výskumník, Isaac Archambault z tímu IDAoADI
FontParser
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2487: riusksk (泉哥) z oddelenia Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) z oddelenia Tencent Security Platform Department
FontParser
K dispozícii pre: Apple TV (4. generácie)
Dopad: Analýza súboru písma so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2407: riusksk (泉哥) z oddelenia Tencent Security Platform Department
FontParser
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
K dispozícii pre: Apple TV (4. generácie)
Dopad: Škodlivý server HTTP/2 môže byť schopný spôsobiť nedefinované správanie
Popis: Vo verziách knižnice nghttp2 starších ako 1.17.0 dochádzalo k viacerým problémom. Tieto problémy boli vyriešené aktualizovaním knižnice nghttp2 na verziu 1.17.0.
CVE-2017-2428
Dátum aktualizovania záznamu: 28. marca 2017
ImageIO
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
K dispozícii pre: Apple TV (4. generácie)
Dopad: Zobrazenie súboru JPEG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2432: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ImageIO
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2467
ImageIO
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Vo verziách knižnice LibTIFF starších ako 4.0.7 dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený aktualizovaním knižnice LibTIFF v triede ImageIO na verziu 4.0.7.
CVE-2016-3619
JavaScriptCore
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2491: Apple
Dátum pridania záznamu: 2. mája 2017
JavaScriptCore
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webovej stránky so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s prototypom, ktorý bol vyriešený vylepšením logiky.
CVE-2017-2492: lokihardt z tímu Google Project Zero
Dátum aktualizovania záznamu: 24. apríla 2017
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2401: Lufeng Li z tímu Qihoo 360 Vulcan Team
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2440: Anonymný výskumník
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2456: lokihardt z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2472: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2473: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím hodnoty o jednotku menšej alebo väčšej, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-2474: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2017-2478: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2482: Ian Beer z tímu Google Project Zero
CVE-2017-2483: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2490: Ian Beer z tímu Google Project Zero, Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Dátum pridania záznamu: 31. marca 2017
Klávesnice
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-2458: Shashank (@cyberboyIndia)
Kľúčenka
K dispozícii pre: Apple TV (4. generácie)
Dopad: Útočník, ktorý dokáže zaznamenávať pripojenia TLS, môže byť schopný čítať tajné informácie chránené iCloud Kľúčenkou.
Popis: iCloud Kľúčenka v niektorých prípadoch neoverovala pravosť paketov OTR. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2448: Alex Radocea zo spoločnosti Longterm Security, Inc.
Dátum aktualizovania záznamu: 30. marca 2017
libarchive
K dispozícii pre: Apple TV (4. generácie)
Dopad: Lokálny útočník môže byť schopný meniť povolenia súborového systému ľubovoľných adresárov
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2017-2390: Omer Medan zo spoločnosti enSilo Ltd
libc++abi
K dispozícii pre: Apple TV (4. generácie)
Dopad: Dekódovanie názvov funkcií apky v jazyku C++ so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2441
libxslt
K dispozícii pre: Apple TV (4. generácie)
Dopad: Viacero zraniteľností v knižnici libxslt
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-5029: Holger Fuhrmannek
Dátum pridania záznamu: 28. marca 2017
Zabezpečenie
K dispozícii pre: Apple TV (4. generácie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami používateľa root
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-2451: Alex Radocea zo spoločnosti Longterm Security, Inc.
Zabezpečenie
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie certifikátu x509 so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri analýze certifikátov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2485: Aleksandar Nikolic zo spoločnosti Cisco Talos
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.
CVE-2017-2386: André Bargull
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z tímu Google Project Zero, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2455: Ivan Fratric z tímu Google Project Zero
CVE-2017-2459: Ivan Fratric z tímu Google Project Zero
CVE-2017-2460: Ivan Fratric z tímu Google Project Zero
CVE-2017-2464: natashenka z tímu Google Project Zero, Jeonghoon Shin
CVE-2017-2465: Zheng Huang a Wei Yuan z tímu Security Lab spoločnosti Baidu
CVE-2017-2466: Ivan Fratric z tímu Google Project Zero
CVE-2017-2468: lokihardt z tímu Google Project Zero
CVE-2017-2469: lokihardt z tímu Google Project Zero
CVE-2017-2470: lokihardt z tímu Google Project Zero
CVE-2017-2476: Ivan Fratric z tímu Google Project Zero
CVE-2017-2481: 0011 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 20. júna 2017
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2415: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k vysokej spotrebe pamäte
Popis: Dochádzalo k problému s nekontrolovanou spotrebou zdrojov, ktorý bol vyriešený vylepšením spracovania regulárnych výrazov.
CVE-2016-9643: Gustavo Grieco
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2367: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní objektov rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2445: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní funkcií striktného režimu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2446: natashenka z tímu Google Project Zero
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií používateľa
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2447: natashenka z tímu Google Project Zero
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2463: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 28. marca 2017
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2475: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2479: lokihardt z tímu Google Project Zero
Dátum pridania záznamu: 28. marca 2017
WebKit
K dispozícii pre: Apple TV (4. generácie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2480: lokihardt z tímu Google Project Zero
CVE-2017-2493: lokihardt z tímu Google Project Zero
Dátum aktualizovania záznamu: 24. apríla 2017
Ďalšie poďakovanie
XNU
Poďakovanie za pomoc si zaslúži Lufeng Li z tímu Qihoo 360 Vulcan.